Ta strona korzysta z plików Cookie. Polityka prywatnościRozumiem

Jak zabezpieczyć swój e-biznes przed atakiem hakerów

Temat bezpieczeństwa strony internetowej większość osób traktuje po macoszemu (prawdopodobnie Ty także) aż do momentu, kiedy ich strona nie padnie ofiarą ataku. Wtedy na działania prewencyjne jest już za późno i jedynym wyjściem pozostaje naprawa strony.

Oczywiście jeśli jest co naprawiać… i czym.

Czy jesteś narażony na atak?

Jednym słowem – tak. Na atak narażony jest każdy. Zarówno osoby, które utrzymują swoje strony na wynajmowanych (lub własnych) serwerach jak i te, które zakładały strony na platformach stron www. Na atak narażone są osoby, których strony były wykonywane przez freelancerów jak i przez duże i drogie firmy.

Co się stanie jeśli Twoja strona zostanie zaatakowana?

Jeśli Twoja strona padnie ofiarą ataku to jego rezultatem może być:

  • przekierowywanie całego Twojego ruchu na strony spamerskie,
  • użycie Twojego serwera do wysyłania spamu,
  • przejęcie danych osobowych Twoich klientów,
  • lub Twoja strona może być… wzięta na „zakładnika”. Taki los przydarzył się kilka tygodni temu serwisowi Feedly. „Porywacze” żądali wtedy okupu w zamian za przywrócenie strony do działania.

Ataki nastawione na uszkodzenie strony praktycznie się nie zdarzają, ponieważ nie przynoszą korzyści materialnych atakującym.

Jak zmniejszyć prawdopodobieństwo ataku

Zabezpiecz połączenie Wi-Fi

Jeśli posiadasz niezabezpieczone połączenie Wi-Fi ze swoim routerem to pozwalasz korzystać ze swojej sieci dowolnemu użytkownikowi umożliwiając mu łatwe podsłuchanie Twojego połączenia i pozyskanie haseł. Dodatkowo, mogą Ci też grozić konsekwencje prawne jeśli osoba korzystająca z Twojego IP dopuści się czynności nielegalnych, np. rozpowszechniania dziecięcej pornografii.

Używaj silnych haseł

Hasła mają to do siebie, że można je odgadnąć. A szczególnie jeśli próbuje się kilkadziesiąt czy kilkaset tysięcy razy. Na takiej zasadzie opiera się metoda ataku brute force, podczas której wypróbowywane są wszelkie możliwe kombinacje hasła użytkownika.

Na „pierwszy ogień” idą terminy z top 1000, czyli najczęściej stosowane przez ludzi hasła, jak np. „hasło” , „pass”, „password”, „pass123”, „demo”, „test”, „123abc!@#ABC”, itd. Wykorzystywane są także wszystkie informacje zdobyte o użytkowniku, np. jego data urodzin, imiona rodziców, dzieci, miejsce zamieszkania, nazwa firmy, domena internetowa, auto, itp. Przyznajcie się, ile z tych informaji o was jest publicznie dostępnych na portalach społecznościowych i forach? Jeśli i to nie odniesie skutku, to sprawdzane są wariacje słownikowe a na końcu kombinacje losowe.

Aby słabe hasło nie stało się furtką dostępu do Twojej strony musisz zacząć stosować unikalne, trudne hasła do:

  • swojego panelu administracyjnego,
  • serwera,
  • panelu administracyjnego serwera i rejestratora swojej domeny,
  • adresu email na jaki wysyłane jest „przypomnienie hasła” do strony,

Silne hasła muszą używać wszystkie osoby, które korzystają z systemu.

Wbrew powszechnej opinii lepiej od skomplikowanego hasła np. 7N#ew23m(* sprawdzi się prostsze do zapamiętania… zdanie (najlepiej z jakąś cyfrą i polskimi znakami), np. „pająkma8nóżekakotek4”. Dłuższe hasło zapewnia większe bezpieczeństwo ponieważ aby je odgadnąć potrzeba więcej prób.

Używaj unikalnej nazwy użytkownika

Analogicznie jak w przypadku haseł, logując się do panelu swojej strony powinieneś używać unikalnej, nigdzie nie publikowanej nazwy użytkownika. Jeśli Twoim loginem jest Twoje imię, nazwisko, nazwa autora artykułów na blogu, po prostu „admin” lub coś równie prostego to natychmiast to zmień.

Zabezpiecz swój komputer

Nawet najtrudniejsze hasła nic nie pomogą jeśli Twój komputer zostanie zainfekowany tzw. keyloggerem. Program ten zapisuje znaki, które wpisywane są przez klawiaturę i wysyła je do „odpowiedniej” osoby.

Aby się przed tym zabezpieczyć:

  1. zainstaluj program antywirusowy (najlepiej płatny – licencje nie są drogie a oferują wyższy poziom zabezpieczeń od rozwiązań darmowych),
  2. zainstaluj firewall (standadowy windowsowy firewall nie będzie przeszkodą dla zawodowców),
  3. nie pobieraj programów z nieznanych źródeł,
  4. jeśli to możliwe wszelkie hasła wpisuj z klawiatury ekranowej (czasami dostępnej na stronach bankowych).

Loguj się przez SSL

Twoje hasło może zostać podsłuchane jeśli jest przekazywane w sieci w niezabezpieczonej postaci, czyli przez typowy protokół „HTTP” (jest na początku adresu strony www, np. http://www.przyklad.pl). Kiedy logujesz się do panelu swojej strony powinieneś zwrócić uwagę, czy następuje to przez SSL, o którym świadczy obecność „S” przy „HTTP”, czyli „HTTPS”.

Łącz się bezpiecznie przez klienta FTP

Jeśli masz dostęp do serwera swojej strony i łączysz się z nią przez klienta FTP, np. Filezilla lub TotalCommander to:

  1. łącz się z serwerem wykorzystując szyfrowane połączenie SFTP lub SCP.
  2. nie zapisuj hasła w kliencie. Niektóre szkodliwe programy potrafią skopiować bazę haseł zapisaną w takich programach i wysłać je do atakującego.

Uważaj na phishing

Phishingiem powinny przejmować się osoby, które mają swoje strony na platformach internetowych. Phishing jest metodą pozyskiwania haseł bezpośrednio od użytkowników platformy. Metoda polega na wysyłaniu specjalnie spreparowanych emaili wyglądających na wysłane bezpośrednio z platformy i proszących o zmianę hasła. W treści maila jest wtedy widoczny link przekierowujący użytkowników na kolejną, zamaskowaną stronę logowania, która pobiera hasło.

Nie przechowuj haseł na swoim komputerze w niezabezpieczonych plikach

Jeśli przechowujesz pliki na swoim komputerze w zwykłych plikach tekstowych to koniecznie musisz je zaszyfrować i zabezpieczyć oddzielnym hasłem. Najprościej zrobisz to używając np. darmowego programu do kompresowania plików 7-zip. Po jego instalacji:

  1. kliknij na pliku z hasłami prawym przyciskiem myszki
  2. Wybierz „dodaj do archiwum”
  3. W nowym okienku wybierz typ kompresji i zabezpieczeń. 7-zip może szyfrować plik używając 256-bitowego klucza AES.
  4. Wpisz hasło, którym będziesz otwierać plik.
  5. Potwierdź i gotowe!

Ewentualnie możesz także skorzystać z poniższego rozwiązania.

Zamiast Dropboxa, Google Drive, One Drive używaj Tresorit

Wiele osób trzyma na dyskach sieciowych takich jak Dropbox, Box, itp. ważne pliki z hasłami i/lub kopiami bezpieczeństwa. Jest to jednak ryzykowne, ponieważ te usługi nie zapewniają odpowiedniego poziomu bezpieczeństwa. Zamiast nich lepiej jest używać dysk Tresorit, który szyfruje swoją zawartość.

W darmowym pakiecie dostaniesz 5GB na swoje ważne pliki ale jeśli klikniesz w ten link to otrzymasz dodatkowy 1GB, czyli będziesz mieć razem 6!

Nie zapisuj haseł w przeglądarce

Plik z hasłami zapisanymi w Twojej przeglądarce może zostać łatwo skopiowany i wysłany zainteresowanym osobom. Zamiast tego skorzystaj z:

  • w większości darmowego LastPass, który integruje się z Twoją przeglądarką,
  • lub całkowicie darmowego KeePass, który działa jako oddzielny program.

Uważaj gdzie i z czego się logujesz

Sieci w miejscach publicznych mają zwykle bardzo słabe zabezpieczenia lub nie mają ich wcale. Sporo ryzykujesz jeśli korzystając z nich logujesz się do swojej strony lub wykonujesz operacje bankowe. Szczególnie niebezpieczne są kafejki internetowe gdzie niebezpieczne oprogramowanie może być zainstalowane przez poprzednich użytkowników sprzętu.

Nie dawaj administratorom swojej strony zbyt wielu uprawnień

Jeśli oprócz Ciebie na Twoją stronę logują się inni administratorzy ważne jest nie dawać im zbyt wysokich uprawnień. Nawet jeśli w 100% wierzysz w dobre intencje swoich pracowników to nie możesz od nich wymagać przestrzegania wszystkich z powyższych zasad bezpieczeństwa. Jeśli ich konta administracyjne zostaną przechwycone to ważne jest aby nie można było przy ich pomocy wykonać zbyt wielu szkodliwych czynności.

Często uaktualniaj system, jego rozszerzenia i motyw

Jeśli Twoja strona jest na Twoim serwerze (czyli nie jest na platformie www) musisz zadbać aby system na jakim działa, jego rozszerzenia oraz używany motyw były aktualne. Dzięki temu wszelkie wyłapane przez ich twórców błędy i dziury bezpieczeństwa będą załatane a Twoja strona będzie bezpieczniejsza.

Korzystaj tylko ze sprawdzonych szablonów i rozszerzeń systemu

Większość osób, które mają strony www oparte na otwartych systemach Open Source ma możliwość zmieniania ich wyglądu przy pomocy szablonów (motywów) i dodawania funkcji przez odpowiednie rozszerzenia. Zawarte w nich skrypty mogą być jednak szkodliwe lub wykorzystane w celach ataku. Dlatego wybierając szablon lub rozszerzenie sprawdź:

  1. jak są oceniane przez użytkowników
  2. jaką opinię mają osoby, które je programowały
  3. czy są aktywnie rozwijane
  4. ile osób je pobrało

Usuń nieużywane rozszerzenia i szablony

Jeśli często zmieniasz funkcje na swojej stronie lub jej wygląd to usuwaj wtyczki i szablony z których już nie korzystasz. Jeśli zostanie w nich odnaleziona furtka to takie nieaktualne skrypty (nawet jeśli są nieaktywne) mogą stać się źródłem ataku.

Zainstaluj pakiet zabezpieczeń systemu

Do niektórych systemów zarządzania treścią można dodać rozszerzenia zwiększające ich bezpieczeństwo. Poszukaj i zainstaluj najlepiej oceniane wtyczki z kategorii:

  • ogólnych zabezpieczeń,
  • firewalli – jeśli nie znajdziesz odpowiedniego narzędzia patrz kolejny punkt,
  • skanerów zmian w plikach,
  • zabezpieczeń ekranu logowania.

Czasami zdarza się, że wszystkie te rozwiązania dostępne są w ramach jednego, kompletnego pakietu.

Nie interesuj się antywirusami. Narzędzia tego typu mają wysoką skuteczność na komputerach stacjonarnych ale są praktycznie bezużyteczne na serwerach

Skonfiguruj CDN Cloudflare lub ModSecurity

Nie wchodząc w szczegóły, dzięki darmowemu CDN Cloudflare Twoje strony będą ładowały się szybciej a wszelkie zapytania do serwera będą przechodzić weryfikację przez zewnętrzny firewall w celu wyłapania prób ataków. Alternatywnie możesz wykorzystać instalowany na własnym serwerze, darmowy Web Application Firewall ModSecurity.

Zabezpiecz plik konfiguracyjny

Wśród plików na Twoim serwerze znajduje się plik konfiguracyjny zawierający hasło i login do serwera i bazy danych oraz klucze bezpieczeństwa. Nie muszę chyba mówić, że jest to najważniejszy plik w Twoim systemie i powinieneś go zabezpieczyć wszystkimi możliwymi sposobami.

Nadaj plikom i folderom odpowiednie prawa

Każdy plik i folder na Twoim serwerze ma przypisane prawa do bycia odczytanym, modyfikowanym i uruchomionym przez konkretne grupy użytkowników. Czasami zdarza się, że domyślne ustawienia plików i folderów uprawniają wszystkich użytkowników do modyfikacji i uruchomienia pliku, co jest oczywistą zachętą dla włamywaczy. Dlatego każdy plik powinien mieć prawa ustawiona na 640 lub 644 a foldery na 750 lub 755. Niektóre pliki, które zapisane mogą być tylko raz (jak np. plik konfiguracyjny o którym mowa powyżej) powinny mieć ustawienia 400 lub 440.

Jak uchronić się przed następstwami ataku

Wymienione powyżej zabezpieczenia sprawią, że Twoja strona będzie o wiele bezpieczniejsza ale nie zagwarantują całkowitej ochrony. Dlatego musisz być przygotowany na wypadek ataku i zadbać o tworzenie regularnych kopii bezpieczeństwa.

Na początek skontaktuj się z firmą, która utrzymuje serwer Twojej strony i dowiedz się:

  1. czy tworzy codzienne kopie bezpieczeństwa całego systemu (wszystkie pliki i baza danych)
  2. jak długo przechowywane są takie kopie
  3. czy kopie przechowywane są na tym samym (fizycznie) serwerze czy oddzielnym

W idealnym przypadku powinny być tworzone kopie:

  • codzienne – przechowywane przez 30 dni
  • tygodniowe – przechowywane przez 6 miesięcy.

Kopie powinny się znajdować na innym serwerze (idealnie by było gdyby także w innej serwerowni).

Jeśli tak nie jest, to poproś o stosowne zmiany. Ewentualnie możesz także poprosić swoich programistów o konfigurację tworzenia kopii bezpieczeństwa na serwerze u innego dostawcy. Ja polecam tutaj serwery Amazonu. Usługa Amazon S3 jest wyjątkowo tania (5GB pojemności jest za darmo a kolejne gigabajty to wydatek wręcz symboliczny) ale zapewnia spokój na wypadek gdyby oryginalny serwer albo dysk z Twoimi kopiami bezpieczeństwa uległ uszkodzeniu.

Co zrobić po ataku

Jeśli dojdzie do ataku na Twoją stronę postępuj według tego schematu.

  1. Natychmiast zmień hasła do swojego serwera i panelu administracyjnego serwera.
  2. Stwórz prostą stronę HTML z tekstem „Ta strona jest czasowo niedostępna z powodu prac konserwacyjnych” i przekieruj na nią ruch z domeny i wszelkich podstron (przy pomocy htaccess rewrite rules). Dzięki temu Twoja strona nie spadnie ze swoich pozycji w Google.
  3. Skopiuj zawartość całego serwera na swój komputer (łącznie z bazą danych i plikami wgrywanymi przez administratorów i użytkowników)
  4. Usuń całą zawartość serwera i bazy danych (oprócz strony HTML o której była mowa powyżej)
  5. Poproś firmę w której wynajmowałeś serwer o przesłanie Ci kopii logów serwera
  6. Ściągnij na swój komputer kopie bezpieczeństwa bazy danych i plików swojej strony sprzed 3 dni, tygodnia, dwóch tygodni i miesiąca.
  7. Wszystkie powyższe pliki i foldery wyślij specjalistom od zabezpieczeń, którzy poinstruują Cię co robić dalej.